Qu'est-ce que WarDek ?

WarDek est une suite de conformite complete qui combine un scanner de vulnerabilites OWASP avec des modules de conformite NIS2, AI Act et RGPD, specialement concue pour les PME europeennes.

Mon entreprise est-elle soumise a NIS2 ?

La directive NIS2 s'applique aux entites essentielles et importantes dans des secteurs comme l'energie, la sante, les transports, le numerique, etc. Utilisez notre simulateur gratuit pour verifier.

Comment utiliser les rapports WarDek dans un audit ?

Les rapports WarDek fournissent une base de travail exploitable pour vos equipes, votre CAC ou votre preparateur audit. Ils n'equivalent pas a une certification officielle ni a un avis juridique.

Combien de temps prend un scan ?

Un scan OWASP complet prend generalement entre 2 et 5 minutes selon la complexite de votre site web.

Mes donnees sont-elles securisees ?

Absolument. Nous ne stockons jamais vos identifiants. Les rapports sont chiffres et vous pouvez les supprimer a tout moment. Nous sommes heberges en France.

Puis-je essayer avant d'acheter ?

Oui ! Le plan Gratuit vous permet de tester WarDek avec 3 scans par mois, sans carte bancaire requise.

Qu'est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) est le règlement de l'Union européenne sur la protection des données et la vie privée, en vigueur depuis le 25 mai 2018. Il s'applique à toutes les organisations qui traitent des données personnelles d'individus dans l'UE, quel que soit le lieu d'établissement de l'organisation.

Qu'est-ce qu'un registre des traitements Article 30 ?

L'Article 30 du RGPD exige que les responsables de traitement et les sous-traitants tiennent un registre écrit de toutes les activités de traitement. Ce registre doit inclure les finalités du traitement, les catégories de personnes concernées et de données personnelles, les catégories de destinataires, les transferts vers des pays tiers, les durées de conservation et une description générale des mesures de sécurité.

Quelles sont les amendes maximales du RGPD ?

Les amendes du RGPD sont graduelles. Pour les infractions moins graves : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total. Pour les infractions plus graves : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires. La CNIL a infligé des amendes de 150 millions d'euros (Google, 2022) et 405 millions d'euros (Meta, 2023).

Comment se déroule un contrôle de la CNIL ?

La CNIL effectue quatre types de contrôles : sur place (inspection dans les locaux), en ligne (vérification technique à distance), sur pièces (demande de documentation) et audition (entretien formel). Les contrôleurs demandent généralement le registre des traitements, les mécanismes de consentement, les mentions d'information, les procédures de notification de violation de données, les dossiers d'AIPD et les preuves des mesures de sécurité.

Ai-je besoin d'un Délégué à la Protection des Données (DPO) ?

Un DPO est obligatoire dans trois cas en vertu de l'Article 37 : (1) le traitement est effectué par une autorité publique, (2) les activités de base consistent en des opérations de traitement nécessitant un suivi régulier et systématique des personnes concernées à grande échelle, ou (3) les activités de base consistent en un traitement de données sensibles à grande échelle. Même lorsqu'il n'est pas obligatoire, la CNIL recommande la désignation d'un DPO.

Guide audit RGPD — Documentation prête pour la CNIL

RGPD : Le fondement de la protection des données en Europe

Le Règlement Général sur la Protection des Données(RGPD), Règlement (UE) 2016/679, est la pierre angulaire du droit européen de la protection des données depuis le 25 mai 2018. Il a remplacé la Directive de 1995 sur la protection des données et a établi un cadre unifié pour l'ensemble des États membres de l'UE. En France, la CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité de contrôle chargée de l'application du règlement.

Le RGPD s'applique à toute organisation qui traite des données personnelles de personnes situées dans l'UE, quel que soit le lieu d'établissement de l'organisation. Les « données personnelles » désignent toute information relative à une personne physique identifiée ou identifiable : noms, adresses e-mail, adresses IP, identifiants de cookies, données de localisation, et même les données pseudonymisées si la réidentification est possible.

Depuis 2018, les autorités européennes de protection des données ont imposé plus de 4,5 milliards d'euros d'amendes. La CNIL à elle seule a prononcé des amendes totalisant plus de 700 millions d'euros, incluant des décisions marquantes contre Google (150 millions d'euros pour des violations du consentement aux cookies en 2022), Meta (405 millions d'euros pour le traitement des données d'enfants en 2023) et Criteo (40 millions d'euros en 2023).

Les sept principes clés (Article 5)

L'Article 5 établit les principes fondamentaux qui régissent tout traitement de données personnelles. Chaque décision concernant la collecte, le stockage et l'utilisation des données doit être conforme à ces principes, et vous devez être en mesure de démontrer votre conformité (principe de responsabilité).

1. Licéité, loyauté et transparence

Les données personnelles doivent être traitées de manière licite (sur l'une des six bases légales de l'Article 6), loyale (pas de tromperie ni d'utilisation inattendue) et transparente (informations claires, en langage simple, fournies aux personnes concernées). Les six bases légales sont : le consentement, l'exécution d'un contrat, l'obligation légale, les intérêts vitaux, la mission d'intérêt public et les intérêts légitimes.

En pratique :Maintenez une politique de confidentialité expliquant en langage clair quelles données vous collectez, pourquoi, sur quelle base légale, combien de temps vous les conservez et avec qui vous les partagez. Évitez le jargon juridique. La CNIL exige que les informations relatives à la vie privée soient accessibles en deux clics maximum depuis n'importe quelle page.

2. Limitation des finalités

Les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Vous ne pouvez pas collecter des données pour de l'« analytique » puis les utiliser pour de la « publicité ciblée » sans base légale distincte.

En pratique :Documentez chaque finalité de traitement dans votre registre Article 30. Lorsque vous souhaitez utiliser des données existantes pour une nouvelle finalité, effectuez un test de compatibilité (Article 6(4)) ou obtenez un nouveau consentement.

3. Minimisation des données

Ne collectez que les données personnelles adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité déclarée. Si vous n'avez pas besoin de la date de naissance pour fournir votre service, ne la collectez pas.

En pratique :Auditez vos formulaires et bases de données. Supprimez les champs qui ne sont pas strictement nécessaires. Questionnez chaque donnée : « En avons-nous besoin ? Que se passe-t-il si nous ne la collectons pas ? » La CNIL signale spécifiquement la collecte excessive de données dans ses constats d'audit.

4. Exactitude

Les données personnelles doivent être exactes et tenues à jour. Les données inexactes doivent être effacées ou rectifiées sans délai. Ce principe devient critique lorsque les données sont utilisées pour la prise de décision automatisée ou partagées avec des tiers.

En pratique :Fournissez des mécanismes simples permettant aux utilisateurs de mettre à jour leurs données. Mettez en place des contrôles de qualité des données. Lorsque des inexactitudes vous sont signalées, corrigez les données dans les délais requis par les Articles 16 et 19.

5. Limitation de la conservation

Les données personnelles doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard de la finalité déclarée. Définissez des durées de conservation pour chaque catégorie de données et appliquez-les.

En pratique :Créez une politique de conservation des données avec des durées spécifiques pour chaque catégorie. Mettez en place des processus automatisés de suppression ou d'anonymisation. La CNIL publie des référentiels de durées de conservation par secteur (ex. : 3 ans après le dernier contact pour la prospection commerciale, durée du contrat plus délais de conservation légaux pour les données clients).

6. Intégrité et confidentialité (Sécurité)

Les données personnelles doivent être traitées de manière à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite, la perte accidentelle, la destruction ou les dommages. Cela nécessite des « mesures techniques et organisationnelles appropriées ».

En pratique :Mettez en œuvre le chiffrement (TLS pour le transit, AES-256 pour le stockage), les contrôles d'accès (RBAC, MFA), des audits de sécurité réguliers et des procédures de réponse aux incidents. La CNIL évalue les mesures de sécurité lors de ses audits et a sanctionné des organisations pour un hachage de mots de passe inadéquat, des bases de données non chiffrées et des contrôles d'accès manquants.

7. Responsabilité

Le responsable de traitement doit être en mesure de démontrersa conformité avec l'ensemble des principes ci-dessus. Il ne s'agit pas seulement d'être conforme, mais de pouvoir le prouver. La documentation est essentielle.

En pratique :Tenez le registre des traitements Article 30, documentez les AIPD, conservez les preuves de consentement, enregistrez les demandes des personnes concernées et les réponses apportées, documentez les mesures de sécurité et conservez les pistes d'audit. Si vous ne pouvez pas le démontrer, la CNIL considère que vous n'êtes pas conforme.

Registre des traitements Article 30

Le registre des traitements est le document RGPD le plus important. C'est la première chose que la CNIL demande lors de tout contrôle. L'Article 30 impose aux responsables de traitement et aux sous-traitants de tenir des registres écrits de leurs activités de traitement.

Pour chaque activité de traitement, le registre doit inclure :

Le nom et les coordonnées du responsable de traitement (et du DPO le cas échéant)
Les finalités du traitement
Les catégories de personnes concernées (clients, salariés, visiteurs, etc.)
Les catégories de données personnelles (identité, contact, financières, comportementales, etc.)
Les catégories de destinataires (services internes, sous-traitants, autorités publiques)
Les transferts vers des pays tiers et les garanties appliquées (CCT, décisions d'adéquation)
Les durées de conservation pour chaque catégorie de données
Une description générale des mesures de sécurité techniques et organisationnelles

Les organisations de moins de 250 salariés ne sont exemptées que si leur traitement est occasionnel, ne porte pas sur des données sensibles et n'est pas susceptible de présenter un risque pour les droits et libertés des personnes. En pratique, quasiment toute organisation traitant des données clients via un site web doit tenir un registre.

Analyse d'Impact relative à la Protection des Données (AIPD) — Article 35

Une AIPD est requise lorsqu'un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». La CNIL a publié une liste des opérations de traitement nécessitant une AIPD, notamment :

Le traitement à grande échelle de données sensibles (données de santé, biométriques, génétiques)
La surveillance systématique de zones accessibles au public (vidéosurveillance, traçage)
La prise de décision automatisée produisant des effets juridiques ou similairement significatifs (scoring crédit, filtrage de recrutement)
Le croisement ou la combinaison d'ensembles de données de différentes sources
Le traitement de données de personnes vulnérables (enfants, patients, salariés)
L'utilisation innovante de nouvelles technologies (IA, IoT, biométrie)
Le profilage à grande échelle
Les traitements empêchant les personnes concernées d'exercer un droit ou d'utiliser un service

Une AIPD doit contenir : une description systématique des opérations de traitement et de leurs finalités, une évaluation de la nécessité et de la proportionnalité, une évaluation des risques pour les droits et libertés des personnes concernées, et les mesures envisagées pour faire face à ces risques. La CNIL met à disposition un outil gratuit (logiciel PIA) pour réaliser les AIPD.

Droits des personnes concernées (Articles 15-22)

Le RGPD accorde huit droits aux personnes concernées. Vous devez être en mesure de répondre aux demandes dans un délai d'un mois (prolongeable à trois mois pour les demandes complexes), gratuitement.

Droit d'accès (Article 15)

Les personnes concernées peuvent demander confirmation que leurs données personnelles font l'objet d'un traitement et, le cas échéant, accéder aux données ainsi qu'à des informations complémentaires (finalités, catégories, destinataires, durées de conservation, source des données). Vous devez fournir une copie des données dans un format électronique couramment utilisé.

Droit de rectification (Article 16)

Les personnes concernées peuvent demander la correction de données personnelles inexactes ou la complétion de données incomplètes. Vous devez rectifier les données sans retard excessif et informer tout destinataire auquel les données ont été communiquées.

Droit à l'effacement (Article 17)

Également appelé « droit à l'oubli ». Les personnes concernées peuvent demander la suppression de leurs données lorsque : les données ne sont plus nécessaires, le consentement est retiré, elles s'opposent au traitement, les données ont été traitées illicitement, ou la suppression est requise par la loi. Des exceptions s'appliquent pour les obligations légales, l'intérêt public et les actions en justice.

Droit à la limitation du traitement (Article 18)

Les personnes concernées peuvent demander que le traitement soit limité (données conservées mais non utilisées) pendant que l'exactitude est contestée, que le traitement est illicite, ou qu'elles ont exercé leur droit d'opposition dans l'attente d'une vérification.

Droit à la portabilité des données (Article 20)

Les personnes concernées peuvent demander leurs données personnelles dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV) et les faire transmettre directement à un autre responsable de traitement lorsque c'est techniquement possible. Ce droit s'applique uniquement aux données fournies par la personne concernée et traitées de manière automatisée sur la base du consentement ou d'un contrat.

Droit d'opposition (Article 21)

Les personnes concernées peuvent s'opposer au traitement fondé sur les intérêts légitimes ou une mission d'intérêt public, y compris le profilage. Pour la prospection commerciale, le droit d'opposition est absolu — aucun test de proportionnalité n'est requis.

Droit de ne pas faire l'objet d'une décision automatisée (Article 22)

Les personnes concernées ont le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou les affectant de manière similairement significative. Des exceptions existent pour l'exécution d'un contrat, l'autorisation légale et le consentement explicite, mais des garanties (intervention humaine, droit de contestation) doivent être en place.

Droit à l'information (Articles 13-14)

Le fondement de la transparence : les personnes concernées doivent être informées au moment de la collecte des données de l'identité du responsable de traitement, des finalités, de la base légale, des destinataires, des durées de conservation, de leurs droits, et du caractère obligatoire ou non de la fourniture des données (exigence légale ou contractuelle).

Violations RGPD courantes et sanctions

Les violations les plus fréquemment sanctionnées par la CNIL incluent :

Consentement aux cookies non conforme (150 M€ Google, 60 M€ Facebook, 2022) : Le consentement doit être aussi facile à refuser qu'à accepter. Les cases précochées et les dark patterns sont interdits.
Base légale inadéquate pour le traitement (405 M€ Meta, 2023) : L'utilisation de « l'exécution d'un contrat » comme base légale pour la publicité comportementale a été rejetée.
Mesures de sécurité insuffisantes (1,5 M€ Dedalus Biologie, 2022) : Le stockage de mots de passe en clair, des contrôles d'accès inadéquats et l'absence de chiffrement sont des constats fréquents.
Conservation excessive des données (800 K€ Carrefour, 2020) : La conservation de données clients pendant plus de 4 ans après la dernière interaction violait le principe de limitation de la conservation.
Défaut de réponse aux demandes des personnes concernées (nombreuses amendes de moindre importance) : Ne pas répondre dans le délai d'un mois déclenche des mesures coercitives.
Notification insuffisante des violations de données (Article 33) : Le défaut de notification à la CNIL dans les 72 heures suivant la découverte d'une violation de données personnelles.

Mesures techniques de conformité

La CNIL évalue les mesures de sécurité techniques dans le cadre du principe d'« intégrité et de confidentialité ». Les exigences techniques clés incluent :

Chiffrement en transit : TLS 1.2 minimum (TLS 1.3 recommandé) pour toutes les connexions. En-tête HSTS avec max-age minimum de 12 mois.
Chiffrement au repos : AES-256 pour les bases de données contenant des données personnelles. Procédures de gestion des clés documentées.
Sécurité des mots de passe : Hachage bcrypt, scrypt ou Argon2. Minimum 12 caractères. Verrouillage de compte après tentatives échouées. La CNIL a publié des recommandations mises à jour sur les mots de passe en 2022 (Délibération 2022-100).
Contrôle d'accès : Contrôle d'accès basé sur les rôles (RBAC). Principe du moindre privilège. MFA pour les accès administrateurs. Revues d'accès régulières.
Journalisation : Événements d'authentification, accès aux données personnelles, modifications de données. Conservation des journaux alignée sur les besoins de sécurité (minimum 6 mois). Aucune donnée personnelle dans les logs.
Détection des violations de données : Systèmes de détection d'intrusion. Détection d'anomalies. Capacité de notification sous 72 heures. Procédure de réponse aux violations.

Démarrer votre mise en conformité RGPD

La conformité au RGPD n'est pas un projet ponctuel mais un processus continu. Pour les organisations qui commencent leur démarche de mise en conformité, l'approche recommandée est :

Cartographiez vos données :Identifiez quelles données personnelles vous collectez, où elles sont stockées, qui y a accès et combien de temps vous les conservez. Cela deviendra votre registre Article 30.
Évaluez vos bases légales :Pour chaque activité de traitement, déterminez la base légale. Le consentement requiert une attention particulière : il doit être libre, spécifique, éclairé et univoque.
Sécurisez vos données :Menez un audit de sécurité pour identifier les lacunes techniques : chiffrement manquant, authentification faible, journalisation insuffisante. Nombre de ces problèmes peuvent être détectés automatiquement.
Documentez tout :Le principe de responsabilité exige une documentation. Créez des modèles pour les politiques de confidentialité, les contrats de sous-traitance, les notifications de violation et les réponses aux demandes des personnes concernées.

Checklist de préparation à l’audit CNIL

La CNIL peut mener quatre types de contrôles : contrôles sur place, contrôles en ligne (à distance), contrôles sur pièces et auditions. Voici ce que vous devez avoir préparé :

Registre des traitements Article 30 (complet, à jour)

Mentions d’information pour tous les points de collecte (site web, formulaires, applications)

Mécanisme de consentement aux cookies (conforme aux recommandations de la CNIL)

Procédure de gestion des demandes d’exercice des droits et registre de suivi

Contrats de sous-traitance (DPA) avec tous les sous-traitants

Procédure de notification des violations de données et registre des violations

AIPD pour les traitements à risque élevé

Politique de conservation avec des durées définies par catégorie de données

Documentation des mesures de sécurité (techniques et organisationnelles)

Lettre de désignation du DPO et coordonnées (le cas échéant)

Garanties pour les transferts internationaux (CCT, décisions d’adéquation)

Registres de formation et sensibilisation des employés